Tietoturva 2011 seminaari Finlandiatalolla 1.12.2010. Aiheena tietoturvamyytit, todelliset tietoturvariskit ja sosiaalisten verkkomedioiden tietoturva.

1. Tietoturvamyytit
Ja totuus niiden takana...
Pete Nieminen
Tietoturva ry
Trend Micro

2. Urbaanilegendat
• Uudenkarhea Mersu myynnissä 5000 markalla
• Palomiehet kävivät asukkaan nukkuessa sohvalla
• Tutkanpaljastin kirjekuoressa
• Myrkkyhämähäkki yuccapalmussa/banaanissa
Kaupunkitarina, nykytarina eli urbaanilegenda on
kaupungistuneessa yhteisössä kiertävä, totena pidetty mutta
tavallisesti todellisuuspohjaa vailla olevaa tarina.
http://fi.wikipedia.org/wiki/Kaupunkitarina

3. Tunnetuimmat tietoturvamyytit ja
myyntinmurtajat

4. Tietoturvan urbaanilegendat
• Hakkeri jakaa metroasemalla kyniä
• Bottikoneet ovat verkossa enintään 45 minuuttia kerrallaan
• Suojaa 0-päivä haavoittuvuuksilta
• ”Täysin uusi tietoturvauhka”
• Mobiilivirukset tulevat
• DLP-ratkaisu estää luottamuksellisten tietojen vuotamisen
• Tietoturvakonsulttimme on nähnyt useita vastaavia ympäristöjä
• Suurella tietotekniikkayrityksellä on pitkälle hiotut
toimintamenetelmät ja suuret tuotetiimit
• URL-filtterin kiertäminen on mahdotonta
• Kryptaus vastaan pistooli
• 100% käytettävyys ja 100% suoja

5. Tietoturvan urbaanilegendat
• Hakkeri jakaa metroasemalla kyniä
– Eipä ole kukaan tunnustanut olevansa tällainen hakkeri tai
olleensa se ”uhri”, joka antoi käyttäjätunnuksensa ja
salasanansa kynää vastaan
• Bottikoneet ovat verkossa enintään 45 minuuttia kerrallaan
– Bottikone on verkossa juuri niin kauan, kunnes se otetaan sieltä
pois...
– Vakavimmat bottihyökkäykset tulevat yleensä maista, joissa
lainsäädäntö tai viranomaiset eivät omaa riittäviä valmiuksia
nettiuhkien hallintaan
• Suojaa 0-päivä haavoittuvuuksilta
– Mikään ei suojaa täydelliseltä 0-päivän haavoittuvuudelta, koska
sitä ei ole aikaisemmin havaittu

6. Tietoturvan urbaanilegendat
• ”Täysin uusi tietoturvauhka”
– Onhan näitäkin, mutta yleensä kyseessä ei ole edes ”täysin uusi
merkkinointikeino”
• Mobiilivirukset tulevat
– ...ja menevät. Niin kauan kuin mobiililaitteiden saastuttamisesta
ei ole hyötyä, eivät ne kiinnosta rikollisiakaan
• DLP-ratkaisu estää luottamuksellisten tietojen vuotamisen
– Ainakin vahigossa vuotamisen, ammattimainen tietovarkaus
tapahtuu suojausmekanismeista huolimatta
• Tietoturvakonsulttimme on nähnyt useita vastaavia ympäristöjä
– ...tai ainakin lukenut niistä netistä. Jokainen ympäristö on uniikki
ja liiketoimintamalli hieman erilainen. Copy/paste-menetelmällä
ei saa mitään hyödyllistä aikaan. Laatu maksaa!

7. Tietoturvan urbaanilegendat
• Suurella tietotekniikkayrityksellä on pitkälle hiotut
toimintamenetelmät ja suuret tuotetiimit
– Mitä laajempi tarjonta, sitä vähemmän on tiettyihin erityisaloihin
keskittyneitä asiantuntijoita. Ei niitä kovimpia kavereita laiteta
asiakkaille aikaa tuhlaamaan muutenkaan
– Toimintamenetelmät ovat laadukkaita, mutta usein myös
vanhentuneita, eivätkä sovi kaikkiin
organisaatioihin/liiketoimintamalleihin/maihin

8. Tietoturvan urbaanilegendat
• URL-filtterin kiertäminen on mahdotonta
– Kaikki ratkaisut ovat kierrettävissä, kokeilkaa private surfia tai
vaikka pelkkää IP-osoitetta
• Kryptaus vastaan pistooli
– Paraskaan salausratkaisu ei auta, mikäli käyttäjä pakoitetaan
purkamaan suojaukset
• 100% käytettävyys ja 100% suoja
– Kaikki teknologiat kaipaavat huoltoa ja pettävät joskus. Korkea
käytettävyys saadaan aikaan huoltokatkoilla - ennalta
ilmoitetuilla tai ilmoittamattomilla
– Jokainen voi tehdä vain parhaansa, sillä täydellistä suojaa ei ole
– Jos joku haluaa nimenomaan hyökätä sinun kimppuusi, estää et
pysty. Voit vain tehdä hyökkäämisen mahdollisimman vaikeaksi
ja minimoida mahdolliset vahingot

9. Todennäköisimmät tietoturvauhat 2011
• Väärennetyt hakutulokset tai viittaukset väärille sivuille
– Vuodenajan, trendien tai ajankohtaisten asioiden mukaisesti
• Tietovarkaudet
– Identiteetti- ja tilitietojen varastaminen nettisivujen, troijalaisten, matojen ja
muiden haittaohjelmien avulla
• Nettisivujen saastuttaminen
– Suosittuille nettisivuille upotetaan haittaohjelmia, joiden avulla saastutetaan
satunnaisten surffailijoiden koneita
• Mainoshuijaukset
– Erityyppisiä ”tarjouksia” ja muita huijauksia jopa luotettavien nettisivujen kautta
• Sosiaalisten verkkomedioiden hyväksikäyttö
– Avoimien, jatkuvasti muuttuvien ja kehittyvien sosiaalisten verkkomedioiden
hyväksikäyttö nettirikollisuuteen on erittäin tehokasta ja toimivaa
• Piraattimateriaalien saastuttaminen
– Laittomien ohjelma-, musiikki- ja videokopioiden saastuttaminen on edelleen
tehokas tapa levittää haittaohjelmia

10. Varo näitä sudenkuoppia
• Epäilyttävät hakutulokset
– Haitallisten tiedostojen ja nettisivujen upottaminen hakutuloksiin on erittäin helppoa ja
suosittua. Mikäli hakutuloksen linkki vaikuttaa epäilyttävältä, älä klikkaa sitä auki
• Bannerit
– Bannerien klikkailu on aina kyseenalaista toimintaa, sekä bannerit, että niiden takana olevat
linkit voivat olla haitallisia
• Videot ja kuvat
– Jopa tunnetut videoita ja kuvia jakavat nettisivut voivat sisältää vaarallista materiaalia. Vältä
epäilyttävältä vaikuttavia medioita ja sivustoja
• Sähköpostit
– Epäilyttävästä lähteestä tulleet sähköpostit on syytä hävittää välittömästi. Et todellakaan ole
voittanut Espanjalaisessa nettilotossa tai löytänyt uutta ulkomaista ”ystävää”
• Langattomat verkot
– Julkiset langattomat verkot ja muut suojaamattomat yhteydet ovat palaamassa nettirikollisten
suosioon
• Tietoturvamyyjä
– Mieti tarpeesi ja vaatimuksesi tarkasti. Testaa tuotevaihtoehdot ja tarkista referenssit.
Kilpailuta hinta ja pyydä vielä ulkopuolinen mielipide puolueettomalta asiantuntijalta. Käytä
apuna ammattilaisia

11. Verkon yleisimmät tietoturvauhat vastaan
organisation oma henkilöstö

12. Tyypillisiä verkkouhkia

13. Copyright 2009 - Trend Micro Inc.
Hieman kehittyneempiä huijauksia

14. Copyright 2009 - Trend Micro Inc.

15. Kun jokin idea toimii, sitä jalostetaan
Esimerkkinä FAKEAV

16. Miten pitkälle pärjää maalaisjärjellä?
Esimerkkinä FAKEAV

17. • Haittaohjelmien ja
bottiverkkojen levittäminen ja
hyödyntäminen
• Helppojen ja halpojen
haitallisten työkalujen suuri
tarjonta
• Tiedon kerääminen ja korrelointi
eri palveluiden ja tietokantojen
välillä
• Hyökkäyskohteen laajentuminen
perheeseen, sukulaisiin,
ystäviin, harrastuksiin ja työ-
yhteisöön
• Luottamuksellisten tietojen
menettäminen
• Maineen vahingoittaminen ja
menettäminen
Verkon todelliset
tietoturvariskit

18. Ovatko sitten organisaatioille
tarjottavat pilvipalvelut turvallisia?

19. Complexity
Crimeware
Spyware
Spam
Mass Mailers
Intelligent
Botnets
Web Threats
• Information
Stealing
• Botnet Enabled
• Multi-Vector
• Multi-Component
• Web Polymorphic
• Rapid Variants
• Single Instance
• Single Target
• Regional Attacks
• Silent, Hidden
• Hard to Clean
Vulnerabilities
Worm Outbreaks
Uhkamaailma muuttuu ja kehittyy
Netti- eli Cyberrikollisuus on tullut jäädäkseen

20. Independent
Businessman
Malware
Vendors
Botnet Vendors
& Hackers
Carders,
Spammers &
Blackmailers
Anti-detection vendors
Toolkit vendors
Cyberrikollisten ekonomiamalli
Independent
Organisation

21. Independent
Businessman
Malware
Vendors
Botnet Vendors
& Hackers
Carders,
Spammers &
Blackmailers
Anti-detection vendors
Toolkit vendors
Cyberrikollisten ekonomiamalli
Independent
Organisation

22. Asset Going-rate
Pay-out for each unique adware installation 30 cents in the United States, 20 cents in Canada, 10 cents in
the UK, 2 cents elsewhere
Malware package, basic version $1,000 – $2,000
Malware package with add-on services Varying prices starting at $20
Exploit kit rental – 1 hour $0.99 to $1
Exploit kit rental – 2.5 hours $1.60 to $2
Exploit kit rental – 5 hours $4, may vary
Undetected copy of a certain
information-stealing Trojan
$80, may vary
Distributed Denial of Service attack $100 per day
10,000 compromised PCs $1,000
Stolen bank account credentials Varying prices starting at $50
1 million freshly-harvested emails (unverified) $8 up, depending on quality
Valmiita palveluita rikolliseen käyttöön
Rikollisten palveluiden edullisuudesta huolimatta,
cyberrikollisuus tuottaa vuodessa yli 10.000.000.000 dollaria

23. Asset Going-rate
Pay-out for each unique adware installation 30 cents in the United States, 20 cents in Canada, 10 cents in
the UK, 2 cents elsewhere
Malware package, basic version $1,000 – $2,000
Malware package with add-on services Varying prices starting at $20
Exploit kit rental – 1 hour $0.99 to $1
Exploit kit rental – 2.5 hours $1.60 to $2
Exploit kit rental – 5 hours $4, may vary
Undetected copy of a certain
information-stealing Trojan
$80, may vary
Distributed Denial of Service attack $100 per day
10,000 compromised PCs $1,000
Stolen bank account credentials Varying prices starting at $50
1 million freshly-harvested emails (unverified) $8 up, depending on quality
Valmiita palveluita rikolliseen käyttöön
Rikollisten palveluiden edullisuudesta huolimatta,
cyberrikollisuus tuottaa vuodessa yli 10.000.000.000 dollaria

24. Rikolliset operaattorit tarjoavat palveluita cyberrikollisille:
Russian Business Networks, McColo ja Estonian Cybercrime Hub
“Unlike many ISPs that host predominately legitimate items, RBN is
entirely illegal. VeriSign iDefense research identified phishing,
malicious code, botnet command-and-control (C&C), and denial
of service (DoS) attacks on every single server owned and
operated by RBN.”
McColo was an Internet service provider providing service to
malware and botnet operators.
McColo customers were responsible for a substantial proportion of
all email spam then flowing and subsequent reports claim a
two-thirds or greater reduction in global spam volume
Tartu, Estonia is the hometown of an Internet company that,
from the outside, looks just like any other legitimate Internet
service provider (ISP). On its website, the company lists
services such as hosting and advertising. According to publicly
available information, it posted more than US$5 million in
revenue and had more than 50 employees in 2007. In reality,
however, this company has been serving as the operational
headquarters of a large cybercrime network since 2005. Its
employees administer sites that host codec Trojans and
command and control (C&C) servers that steer armies of
infected computers from its office in Tartu.

25. Pilvipalveluiden ja sosiaalisten
verkkomedioiden turvallisuus

26. Mikä on paras reitti Japanista Kiinaan?

27. Kuinka paljon sinä luotat nettiin?

28. CompuServe aloitti
sosiaalisen sähköisen
viestinnän…
…mutta kuka muistaa
BBS:t ja FIDOnetin?
Internetin kehittyminen
aloitti varsinaisen
sosiaalisten medioiden
leviämisen myös
tietotekniikkaharraste-
lijoiden ja ammattilaisten
ulkopuolelle

29. Sosiaaliset mediat nyt
• LinkedIn – 50 miljoonaa käyttäjää
• FaceBook – 500 miljoonaa käyttäjää
• MySpcace.com – 200 miljoonaa käyttäjää
• YouTube – 170 miljoonaa käyttäjää
• Skype – 300 miljoonaa käyttäjää
• MSN – 440 miljoonaa käyttäjää
• QQ – 990 miljoonaa käyttäjää
• Twitter – 50 miljoonaa käyttäjää

30. Sosiaaliset mediat nyt
• LinkedIn – 50 miljoonaa käyttäjää
• FaceBook – 500 miljoonaa käyttäjää
• MySpcace.com – 200 miljoonaa käyttäjää
• YouTube – 170 miljoonaa käyttäjää
• Skype – 300 miljoonaa käyttäjää
• MSN – 440 miljoonaa käyttäjää
• QQ – 990 miljoonaa käyttäjää
• Twitter – 50 miljoonaa käyttäjää

31. Sosiaaliset virtuaalimaailmat
HELPOMPIA KÄYTTÄÄ
HELPOMPIA HYVÄKSIKÄYTTÄÄ
12 miljoonaa käyttäjää
12 miljoonaa käyttäjää
2 miljoonaa käyttäjää

32. Sosiaaliset virtuaalimaailmat
HELPOMPIA KÄYTTÄÄ
HELPOMPIA HYVÄKSIKÄYTTÄÄ
12 miljoonaa käyttäjää
12 miljoonaa käyttäjää
2 miljoonaa käyttäjää

33. Sosiaalisten medioiden ja informaation
integrointi jokapäiväiseen elämään
CV
TYÖTEHTÄVÄT
HARRASTUKSET
YSTÄVÄT
PERHE
TILATIEDOT
PAIKANNUS
MATKASUUNNITELMAT
OMAISUUS
HAAVEETHAASTEET

34. Kaikkien sosiaalisten verkkojen
nimissä levitetään haittaohjelmia
– Orkut Users Targeted in Malware Campaign
– Bogus LinkedIn Profiles Harbor Malicious Content
– ‘Classmates Reunion’ Used as Malware Ploy
– Malevolent Social Networking: Now on Friendster
– With ‘Friends’ Like These…
– Spammers Come A-Tweeting
– Fake Bebo Profiles Spam
– Phishers Drop Myspace Bait
– Scammers Dive in on LinkedIn
– Koobface Tweets
– Bogus Facebook, Malware, and a Dancing Girl
– Phishers target World of Warcraft (WoW)
– Maicious links spread via PlayOnline

35. Sosiaalisen median ”uusivanha” tietoturvariski
Sosiaalisten taitojen hyväksikäyttö eli social engineering
• Passiivinen tai aktiivinen sosiaalisten taitojen hyväksikäyttö
• Perustuu luottamuksen saavuttamiseen
– Tunnistaminen, mutta ei varsinaista tunnistautumista
(identification without authentication)
– Oheismateriaalit ja tiedon esittäminen
(vaatetus, työkalut, auto, kulkuluvat, tietämys kohteesta)
– Vaikuttavuus
(ulkoasu, näytteleminen, aneleminen, kiireisyys, hätäily, uhkailu)
• Tehokkuus vaihtelee noin 70% - 90% välillä riippuen tavoitteista
• Ihmiset ovat luonnostaan kohteliaita ja luottavaisia

36. Sosiaalisen median ”uusivanha” tietoturvariski
Sosiaalisten taitojen hyväksikäyttö eli social engineering
• Passiivinen tai aktiivinen sosiaalisten taitojen hyväksikäyttö
• Perustuu luottamuksen saavuttamiseen
– Tunnistaminen, mutta ei varsinaista tunnistautumista
(identification without authentication)
– Oheismateriaalit ja tiedon esittäminen
(vaatetus, työkalut, auto, kulkuluvat, tietämys kohteesta)
– Vaikuttavuus
(ulkoasu, näytteleminen, aneleminen, kiireisyys, hätäily, uhkailu)
• Tehokkuus vaihtelee noin 70% - 90% välillä riippuen tavoitteista
• Ihmiset ovat luonnostaan kohteliaita ja luottavaisia

37. 3737
Miten suojaudun parhaiten sosialisiin
medioihin kohdistuvilta tietoturvariskeiltä?
• Hanki laadukas tietoturvapaketti ja pidä se jatkuvasti ajantasalla
• Jaa vain tietoa, jonka todella arvelet kiinnostavan muita
• Muista että jakamasi tieto on todennäköisesti KAIKKIEN
nähtävillä ja lähes IKUISESTI
• Keskity tiettyihin kommunikaatiokanaviin (älä pommita)
• Huomioi myös muut viestintääsi liittyvät tahot ja osapuolet
• Varmuuskopioi tärkeät tietosi usein
• Jos epäilet, älä luota!

38. • Muista vahvat salasanat
• Eri palveluissa eri salasanat
• Todella turvalliset “turvakysymykset”
• Kiellä tai estä palvelun sisäisten sovellusten toiminta
• Älä syötä luottamuksellisia tai arkaluonteisia tietoja
• Älä kerro liian tarkasti perheestäsi
• Älä hyväksy ystäviksesi henkilöitä joita et todella
tunne
• Älä chattaile turhia
• Älä vastaa kyselyihin tai henkilötietotutkimuksiin,
joiden lähettäjästä et ole täysin varma
Yksityishenkilö ja sosiaaliset verkkomediat

39. Organisaatio ja sosiaaliset verkkomediat
• Kouluta, tiedota, kouluta, tiedota…
• Pieni päivittäinen viestintä on tehokasta
• Koulutuksen pitää sisältää vastuullisen käytön lisäksi
myös tehokasta itseseurantaa
• Tietoturvatyökalujen pitää suojata kaikki
kommunikaatiokanavat ja tallennusvälineet
• Jos jokin epäilyttää, älä käytä sitä, älä hyväksy sitä tai
älä lähetä sitä
• Jos jokin ei epäilytä, käy kahvilla ja mieti asia
uudelleen
• Jos et voisi huutaa asiaasi ääneen, älä lähetä sitä
• Yleisesti ottaen, älä lähetä sitä, jos ei ole aivan pakko

40. • Omien tietoturvamääritysten ja –käytäntöjen ylläpitäminen
pilvipalveluissa
• Tietosuoja, varmistukset ja palauttaminen
• Omien tietojen oma hallinta-aste ja hallintarajapinnat
• Tiedon eristäminen ja salaaminen
• Järjestelmien päivittäminen ja elinkaarien hallinta
• Epärehelliset ylläpitäjät ja inhimilliset erehdykset
• Luottamuksellisten tietovarastojen kierrättäminen ja riittävä tyhjennys
• Tiedon fyysinen sijainti ja sen muutokset
• Regulaatiot (PCI, HIPAA, SOX) ja lainsäädännöt
• Palvelutasot, vastuut, motivointi ja sanktiointi
• Monimutkaiset tarjouspyynnöt, tarjoukset ja sopimukset
Organisaatio ja pilvipalvelut
Hyödyt ja haasteet

41. KIITOS!
...ja turvallista tulevaisuutta
Pete Nieminen
Esitys saatavilla:
www.slideshare.net/niemipet